Purtroppo, una sorprendente carenza di opportunità di formazione e inesperienza ha lasciato molti sviluppatori impreparati a scrivere codice sicuro e creare sistemi protetti dalle fondamenta, proprio nel momento in cui è più importante. Secondo il Global Cybersecurity Outlook 2023 del World Economic Forum, solo il 46% dei responsabili IT ritiene che la propria azienda disponga delle capacità e delle risorse necessarie per far fronte a un attacco cyber. Gli sviluppatori sono istruiti su come scrivere e assemblare codice, ma non sono formati per farlo in modo sicuro. Questa mancanza crea attriti tra i team di sviluppo e security, rendendo la protezione efficiente delle applicazioni difficoltosa. A ciò si aggiunge una preoccupante mancanza di formazione in azienda in termini di insegnamento di principi di codifica sicura e il loro impatto sul ciclo di sviluppo del software. Nel frattempo, gli attori delle minacce stanno diventando sempre più abili, sferrando attacchi di alto profilo.
A complicare ulteriormente questo scenario e, le attività di difesa delle aziende vi è l’utilizzo da parte dei criminali informatici di nuove tecnologie basate sull’intelligenza artificiale, per creare attacchi ancora più sofisticati e pericolosi. Ad esempio, sono in grado di creare malware polimorfo capace di mutare in tempo reale, evitando il rilevamento da parte dei sistemi di protezione. Questo determina la necessità da parte delle aziende di integrare all’interno dei loro team IT una nuova generazione di sviluppatori più preparata ed attrezzata rispetto a quella precedente nell’ambito della sicurezza.
Tra i molti fattori che contribuiscono alla scarsità di formazione sulla codifica sicura nei programmi di studio secondari, vi è la scarsa conoscenza della security da parte dei docenti, che amplifica ulteriormente il divario tra il mondo accademico e l’industria, già significativo a seguito dei continui cambiamenti e dell’evoluzione degli strumenti di sviluppo software. Il mondo accademico fatica a tenere il passo e gli studenti perdono l’opportunità di apprendere una competenza critica e molto richiesta.
Tra i corsi universitari che prevedono programmi di cybersecurity, molti si concentrano sulla protezione da problemi causati da pratiche di sicurezza del software inadeguate, invece di insegnare come un criminale informatico può manipolare e controllare un sistema a causa di un codice non sicuro.
Gli sviluppatori devono apprendere come un’applicazione possa essere a rischio di vettori di attacco come SQL o command injection. Si tratta di concetti specifici che non vengono insegnati a sufficienza. Per questo è necessario che moduli di formazione sulla codifica sicura e sui principi di application security siano un requisito di ogni curriculum tecnico.
Una formazione significativa alla sicurezza sul lavoro
Poiché la maggior parte dei coder entra nel mondo del lavoro senza conoscenze fondamentali di codifica sicura, è sempre più importante che abbiano accesso a opportunità di formazione efficaci in azienda per tenersi al passo con i cambiamenti delle vulnerabilità e delle migliori pratiche di coding.
Uno sviluppatore scrive grandi quantità di codice ogni giorno e poi, una settimana o un mese dopo, emerge un problema di sicurezza. La metà delle volte è un altro sviluppatore a porre rimedio alla falla e la persona che l’ha scritta non ha mai modo di correggerla. Così, ciò che è stato appreso non viene mai applicato e rapidamente dimenticato.
Gli sviluppatori cercano sempre di imparare nuove tecniche di codifica, è nel loro DNA. Il problema non è quindi la mancanza di interesse, ma di opzioni formative accattivanti. È necessario rendere la formazione significativa, coinvolgente e applicabile, con opportunità di apprendimento pratiche che consentano ai coder di sfruttare e applicare patch a codici reali, ottenere feedback in tempo reale e quindi applicare i principi AppSec al codice che scrivono. Inoltre, i sistemi basati sull’IA generativa in grado di aiutare gli sviluppatori stessi a correggere le falle di sicurezza possono creare un ciclo virtuoso che accelera l’apprendimento delle buone pratiche di sicurezza del codice. Questo ciclo immediato aiuta a imparare e mettere in pratica la application security in scenari reali che rispecchiano il loro flusso di lavoro.
Dilemma di gestione: rischio contro ricompensa
L’altra grande sfida alla formazione costante sulla sicurezza è completamente diversa e, forse, ancora più difficile da risolvere. Con la continua pressione a produrre codice in tempi più rapidi, i team di sviluppo non possono permettersi di perdere risorse per la formazione su base frequente. Si tratta di una riduzione della produzione, un costo misurabile e difficile da difendere per l’azienda. D’altra parte, la posta in gioco è potenzialmente molto più costosa.
Il management deve soppesare il rischio di cali di produzione con i vantaggi di sviluppatori attenti alla sicurezza. Con violazioni dei dati che raggiungono un costo di 424 milioni di dollari, “armare” gli sviluppatori con le conoscenze necessarie per prevenire e correggere le falle software vale qualche ora di produttività focalizzata su altro. Aiutare il management a dare priorità alla formazione degli sviluppatori è un’impresa complessa, ma da risolvere.
Rendere gli sviluppatori protagonisti
Con cyberattacchi che si verificano ogni 39 secondi e recenti cyberattacchi e incidenti ransomware di impatto, la situazione è destinata a diventare sempre più grave. È giunto il momento di dare priorità alla formazione sulla codifica sicura sia per gli sviluppatori emergenti che per quelli esistenti, per fornire le conoscenze necessarie a creare software protetto fin dall’inizio. La prossima generazione di sviluppatori non sa ancora cosa li aspetta, ma potrebbero essere coloro di cui abbiamo bisogno per cambiare la situazione a nostro favore.
Per sottolineare il rapporto tra sviluppo e sicurezza e consolidare le relazioni con la community di sviluppatori e professionisti IT, Veracode parteciperà alla Codemotion Conference, che si terrà a Milano il 24 e 25 ottobre, un appuntamento imperdibile per approfondire le più recenti tecnologie, favorire lo scambio di conoscenze e competenze e confrontarsi sulle esigenze in costante evoluzione.
Di Massimo Tripodi, Country Manager di Veracode Italia
